Средства защиты сети — это инструменты, механизмы и технологии, добавленные в сеть для обеспечения безопасности данных, голосовой и видео-информации, которые хранятся и передаются по сети. К ним относятся, например, межсетевые экраны (МСЭ) и системы предотвращения вторжений (IPS).
Средства защиты сети — это защитные средства, добавленные в сеть для защиты конфиденциальности, целостности и доступности. Эти средства продолжают непрерывно совершенствоваться, но основные познания на эту тему легко доступны. Чтобы не позволить злоумышленникам проникнуть в сеть, необходимо им препятствовать. Для этого используются межсетевые экраны, прокси-серверы и шлюзы.
Было бы опрометчиво считать, что этих устройств достаточно, чтобы полностью исключить проникновение злоумышленников в сети. Раньше или позже они находят какую-нибудь лазейку. Широко известный хакер Кевин Митник уверяет, что когда его нанимают компании для проверки системы безопасности своих сетей, он в 100% случаев проникает в сеть.
Способ взломать сеть всегда находится. Чтобы надежно обеспечить безопасность, требуется непрерывно учиться, совершенствовать защиту и опережать хакеров хотя бы на шаг. На случай вторжения в сеть также очень важно иметь план и команду реагирования на инциденты.
Межсетевые экраны обеспечивают фильтрацию трафика, пропуская или блокируя его. Настройки МСЭ определяют, какой трафик разрешено пропускать, при этом учитывается тип трафика и потребности бизнеса. В соответствии с лучшими практиками МСЭ по умолчанию блокирует весь трафик. Затем в настройках дается разрешение пропускать только определенный трафик к известным службам. Для эффективной работы МСЭ необходимо его правильно сконфигурировать, поэтому администратор, выполняющий настройку, должен быть очень квалифицированным.
Межсетевые экраны работают на разных уровнях модели OSI. Обычно это уровни со второго по пятый. Если МСЭ работает на прикладном уровне (L7), то его часто называют прокси-сервером или шлюзом. Исключением является защитный экран для веб-приложений (Web Application Firewall, WAF), для которого термин «экран» применяется и на седьмом уровне. Межсетевой экран анализирует информацию, находящуюся на том уровне модели OSI, на котором он работает.
Пример работы МСЭ на разных уровнях:
Межсетевые экраны конфигурируют с помощью списка правил (политик). МСЭ просматривает этот список, чтобы определить, что делать с входящим трафиком. Список просматривается последовательно, сверху вниз.
Сначала МСЭ сравнивает фрейм или пакет с первым правилом списка. Если входящий тип трафика соответствует всем критериям правила фильтрации, то выполняется указанное действие: пропустить или заблокировать.
Если фрейм или пакет не соответствует первому правилу, межсетевой экран сравнивает его со вторым правилом и так далее. Если трафик не соответствует ни одному из заданных правил, МСЭ будет следовать последнему правилу: заблокировать трафик.
Прокси-сервер с функциями МСЭ работает на седьмом уровне модели OSI. Когда прокси получает трафик, он обрабатывает фрейм или пакет, поднимаясь по уровням. Например, фрейм удаляется на втором уровне, заголовки пакета — на третьем, и так далее до седьмого уровня, где информация представляется в виде данных.
Протокол TLS прекращает действовать после четвертого уровня, и с этого момента данные в прокси-сервере передаются открытым текстом. Тогда прокси анализирует передаваемые данные, чего на более низких уровнях не позволяло сделать шифрование. Таким образом, прокси может анализировать гораздо больше данных, чем стандартный МСЭ. Конечно, для прокси-сервера с функциями МСЭ требуется больше времени или вычислительной мощности, но зато он обеспечивает более надежный контроль пользовательского трафика.
Термин «шлюз» можно трактовать по-разному. Традиционный шлюз представлял собой аппаратное устройство, которое позволяло соединять две сети между собой. Современный шлюз, как правило, включает в себя возможности МСЭ. Например, в шлюз Microsoft Azure встроен WAF. Так что шлюз теперь, видимо, можно назвать одним из типов межсетевого экрана.
Еще одной задачей безопасности является обнаружение вторжений в сеть с помощью систем обнаружения вторжений (IDS). Это устройство (или программный продукт) ведет себя пассивно. Оно отслеживает сетевой трафик и если обнаружит, что он подозрительный, то регистрирует этот факт в журнале событий. IDS может быть как сетевым, так и конечным устройством. В зависимости от места установки IDS делятся на сетевые (network-based IDS, NIDS) и хостовые (host-based IDS, HIDS).
NIDS обычно подключается к TAP-порту или SPAN-порту коммутатора. Трафик без помех передается к месту назначения, а его копия отправляется на SPAN-порт NIDS для анализа. Хостовый IDS может устанавливаться на ноутбуке, планшете, сервере и т. д. Большинство HIDS анализируют не трафик в режиме реального времени, а журналы трафика постфактум.
В какой-то момент производители решили вывести эти устройства на новый уровень. Если IDS могут обнаружить атаку, логично было бы сразу удалять подозрительные фреймы или пакеты, не ограничиваясь сообщением о них. В результате появились системы предотвращения вторжений (IPS). IDS также делятся на сетевые (NIPS) и хостовые (HIPS).
Это замечательная идея, но и есть оборотная сторона медали. IPS сначала требуется объяснить, какой трафик считать плохим. Этого можно добиться с помощью файлов сигнатур или обучения.
Следующий вопрос, который необходимо решить, — как защитить при передаче данные, голосовую информацию или видео от посторонних глаз. Это касается как корпоративной или домашней сети, так и интернета или сети поставщика услуг.
Для решения этой проблемы применяется шифрование, которое преобразует данные в нечитаемую без ключа форму. Для защиты передаваемых данных есть несколько вариантов шифрования. Вот они:
SSL/TLS используется с 1995 г. для защиты соединений между браузером и веб-сервером. Протокол SSL (Secure Socket Layer) разработала компания Netscape Communications. Затем появились версии 2.0 и 3.0, но после того, как IETF (Internet Engineering Task Force) стандартизировал SSL, протокол переименовали в TLS (Transport Level Security). Это произошло, когда корпорация America Online (AOL) приобрела Netscape. На данный момент самая новая версия протокола — TLS 1.3 (RFC 8446). TLS используется не только для интернет-соединений. На него также могут опираться VPN-соединения.
SSL/TLS — это протокол транспортного уровня, который использует для браузер-соединений TCP-порт 443.
SSH — самый распространенный метод для удаленного входа в систему. Этот протокол шифрует всю передаваемую по сети информацию. С помощью SSH сетевые администраторы удаленно управляют сетевыми устройствами: маршрутизаторами и коммутаторами. В первую очередь SSH создали для замены Telnet, который небезопасен, так как он не шифрует данные, хотя может применяться для VPN-соединений. Спецификация транспортного протокола SSH содержится в документе IETF RFC 4253. По умолчанию SSH работает на TCP-порту 22.
IPsec — это набор протоколов сетевого уровня, обеспечивающий шифрование и проверку целостности для любого типа соединения. Разработано несколько документов IETF RFC, в которых содержатся спецификации входящих в IPsec протоколов. В RFC 6071 показано, как эти документы соотносятся друг с другом.
В IPsec входят два протокола безопасности: AH (Authentication Header) и ESP (Encapsulating Security Payload).
Защита интеллектуальной собственности — сложная проблема. К интеллектуальной собственности относится многое: процессы, проектная документация, данные исследований и разработок и др. Требуется решать две основные задачи защиты. Первая — сохранить конфиденциальность информации, вторая — обеспечить, чтобы информация была доступна только тому, кому вы хотите ее показать. Для управления доступом важны две вещи — классификация данных и контроль доступа. Для этого применяются системы предотвращения утечки данных (DLP) и технические средства защиты авторских прав (Digital Rights Management, DRM).
Защитой исходящих из компании данных от утечек занимаются DLP-системы. Они отслеживают конфиденциальную информацию в электронных письмах или при передаче файлов.
Если DLP обнаруживает такую информацию, как например, реквизиты кредитной карты, она блокирует или останавливает ее передачу. При необходимости DLP может зашифровать информацию. Какие именно ответные меры будут приняты, если DLP-система обнаружит передачу конфиденциальных данных, зависит от сетевых политик компании.
Технологии DRM обеспечивают легальный доступ к интеллектуальной собственности. Если вы пользуетесь сервисами Kindle, iTunes, Spotify, Netflix или Amazon Prime Video, вы сталкивались с DRM. Это ПО позволяет вам смотреть видео, читать электронную книгу или слушать музыку после того, как вы приобрели право на это у вендора. Пример применения для бизнеса: после того, как клиент оплатил учебный курс, Cisco предоставляет ему доступ к руководствам по курсу.
Онлайн-инструмент LockLizard — еще один пример технологий DRM, который компании могут использовать для контроля за распространением контента. Технические средства защиты авторских прав (DRM) контролируют доступ, определяя срок использования контента, возможность его распечатки или распространения и т. д. Спектр доступных действий определяет владелец интеллектуальной собственности.
Возможно, к наиболее важным мерам обеспечения безопасности бизнеса относится обнаружение событий и корректировка недостатков. Отправной точкой для этого является регистрация событий. Фактически все сетевые системы или системы, подключенные к сети, должны генерировать логи (журналы событий).
Что именно регистрировать, зависит от бизнес-целей. Регистрировать можно попытки входа в систему, потоки трафика, пакеты, предпринятые действия или даже каждое нажатие клавиши пользователем. При выборе событий для логов учитывается уровень рисков, критичность ресурсов и уязвимость систем компании.
Системы и устройства, которые должны генерировать логи
Сетевые устройства и системы:
Подключенные к сети устройства и системы:
В результате записывается огромное количество событий. Чтобы разобраться во всех этих данных, необходимо отправлять логи, которые являются данными для контроля безопасности, например, на syslog-сервер в центральной локации. Когда данные поступают на syslog-сервер, их анализирует SIEM (Security Information Event Manager).
SIEM — это инструмент, который коррелирует и анализирует события всех систем, выявляя индексы компрометации (IoC). Наличие IoC не всегда является доказательством того, что подозрительные события имели место, поэтому анализ должны завершить специалисты. Какие действия следует предпринимать дальше, определяют специалисты SOC и команд по реагированию на инциденты.